Language of document : ECLI:EU:C:2018:388

TIESAS SPRIEDUMS (virspalāta)

2018. gada 5. jūnijā (*)

Lūgums sniegt prejudiciālu nolēmumu – Direktīva 95/46/EK – Personas dati – Fizisko personu aizsardzība attiecībā uz šo datu apstrādi – Rīkojums deaktivizēt Facebook lapu (fanu lapu), ar kuras palīdzību iespējams ievākt un apstrādāt noteiktus ar šīs lapas apmeklētājiem saistītus datus – 2. panta d) punkts – Personas datu pārzinis – 4. pants – Piemērojamās valsts tiesības – 28. pants – Valsts uzraudzības iestādes – Šo iestāžu iejaukšanās pilnvaras

Lieta C‑210/16

par lūgumu sniegt prejudiciālu nolēmumu atbilstoši LESD 267. pantam, ko Bundesverwaltungsgericht (Federālā administratīvā tiesa, Vācija) iesniedza ar lēmumu, kas pieņemts 2016. gada 25. februārī un kas Tiesā reģistrēts 2016. gada 14. aprīlī, tiesvedībā

Unabhängiges Landeszentrum für Datenschutz SchleswigHolstein

pret

Wirtschaftsakademie SchleswigHolstein GmbH,

piedaloties

Facebook Ireland Ltd,

Vertreter des Bundesinteresses beim Bundesverwaltungsgericht.

TIESA (virspalāta)

šādā sastāvā: priekšsēdētājs K. Lēnartss [K. Lenaerts], priekšsēdētāja vietnieks A. Ticano [A. Tizzano] (referents), palātu priekšsēdētāji M. Ilešičs [M. Ilešič], L. Bejs Larsens [L. Bay Larsen], T. fon Danvics [T. von Danwitz], A. Ross [A. Rosas], J. Malenovskis [J. Malenovský] un E. Levits, tiesneši E. Juhāss [E. Juhász], E. Borgs Bartets [A. Borg Barthet], F. Biltšens [F. Biltgen], K. Jirimēe [K. Jürimäe], K. Likurgs [C. Lycourgos], M. Vilars [M. Vilaras] un J. Regans [E. Regan],

ģenerāladvokāts: Ī. Bots [Y. Bot],

sekretāre: S. Stremholma [C. Strömholm], administratore,

ņemot vērā rakstveida procesu un 2017. gada 27. jūnija tiesas sēdi,

ņemot vērā apsvērumus, ko sniedza:

–        Unabhängiges Landeszentrum für Datenschutz SchleswigHolstein vārdā – U. Karpenstein un M. Kottmann, Rechtsanwälte,

–        Wirtschaftsakademie SchleswigHolstein GmbH vārdā – C. Wolff, Rechtsanwalt,

–        Facebook Ireland Ltd vārdā – C. Eggers, H.G. Kamann un M. Braun, Rechtsanwälte, kā arī I. Perego, avvocato,

–        Vācijas valdības vārdā – J. Möller, pārstāvis,

–        Beļģijas valdības vārdā – L. Van den Broeck un C. Pochet, kā arī P. Cottin un J.C. Halleux, pārstāvji,

–        Čehijas valdības vārdā – M. Smolek un J. Vláčil, kā arī L. Březinová, pārstāvji,

–        Īrijas vārdā – M. Browne, L. Williams, E. Creedon un G. Gilmore, kā arī A. Joyce, pārstāvji,

–        Itālijas valdības vārdā – G. Palmieri, pārstāve, kurai palīdz P. Gentili, avvocato dello Stato,

–        Nīderlandes valdības vārdā – C. S. Schillemans un M. K. Bulterman, pārstāves,

–        Somijas valdības vārdā – J. Heliskoski, pārstāvis,

–        Eiropas Komisijas vārdā – H. Krämer un D. Nardi, pārstāvji,

noklausījusies ģenerāladvokāta secinājumus 2017. gada 24. oktobra tiesas sēdē,

pasludina šo spriedumu.

Spriedums

1        Lūgums sniegt prejudiciālu nolēmumu ir par to, kā interpretēt Eiropas Parlamenta un Padomes Direktīvu 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (OV 1995, L 281, 31. lpp.).

2        Šis lūgums ir iesniegts strīdā starp Unabhängiges Landeszentrum für Datenschutz SchleswigHolstein (Šlēsvigas‑Holšteinas federālās zemes Neatkarīgā datu aizsardzības iestāde, Vācija) (turpmāk tekstā – “ULD”) un izglītības jomā specializējušos privāto tiesību sabiedrību Wirtschaftsakademie SchleswigHolstein GmbH (turpmāk tekstā – “Wirtschaftsakademie”) par to, vai ir likumīgs rīkojums, ar kuru ULD šai pēdējai minētajai sabiedrībai ir uzdevusi deaktivizēt tās fanu lapu, kas tiek mitināta sociālā tīkla Facebook (turpmāk tekstā – “Facebook”) vietnē.

 Atbilstošās tiesību normas

 Savienības tiesības

3        Direktīvas 95/46 preambulas 10., 18., 19. un 26. apsvērumā ir noteikts:

“(10)      tā kā valstu likumu par personas datu apstrādi mērķis ir aizsargāt pamattiesības un brīvības, īpaši privātās dzīves neaizskaramības tiesības, ko atzīst gan Eiropas Konvencijas par cilvēka tiesību un pamatbrīvību aizsardzību 8. pants, gan [Savienības] tiesību vispārīgie principi; tā kā šā iemesla dēļ valstu likumu tuvināšanas rezultāts nedrīkst būt jebkādas to sniegtās aizsardzības samazinājums, bet gan tieši pretēji, tiem jācenšas nodrošināt [Savienībā] augstu aizsardzības līmeni;

[..]

(18)      tā kā, lai nodrošinātu, ka personas nezaudē aizsardzību, uz kuru viņām ir tiesības saskaņā ar šo direktīvu, jebkura personas datu apstrāde [Savienībā] jāveic saskaņā ar kādas dalībvalsts likumiem; tā kā šajā sakarā dalībvalstī reģistrēta personas datu apstrādātāja veiktu apstrādi būtu jāreglamentē ar šīs dalībvalsts likumiem [tā kā šajā ziņā datu apstrāde, ko veic jebkura persona, kas darbojas tāda pārziņa uzdevumā, kurš ir nodibināts kādā dalībvalstī, būtu jāreglamentē ar šīs dalībvalsts tiesību aktiem];

(19)      tā kā nodibinājums dalībvalsts teritorijā paredz efektīvu un reālu darbības veikšanu ar stabilu pasākumu [veidojumu] starpniecību; tā kā šāda nodibinājuma juridiskā forma, vienalga, vai tā būtu vienkārši nodaļa [filiāle] vai filiāle [meitasuzņēmums] kā juridiska persona, šajā sakarā nav noteicošais faktors; tā kā gadījumos, kad vairāku dalībvalstu teritorijās ir noteikta viena datu apstrādes iestāde, jo īpaši kā filiāles, tai, lai izvairītos no jebkādas valsts noteikumu apiešanas, jānodrošina, ka katra iestāde pilda tās darbībai piemērojamās attiecīgās valsts tiesību uzliktās saistības [tā kā gadījumos, kad vienam un tam pašam pārzinim ir dibinājumi vairāku dalībvalstu teritorijā, it īpaši meitasuzņēmumu veidā, tam, lai tostarp izvairītos no jebkādas valsts noteikumu apiešanas, jānodrošina, ka katrs dibinājums izpilda pienākumus, kas paredzēti tā darbībai piemērojamajās valsts tiesībās];

[..]

(26)      tā kā aizsardzības principus jāpiemēro jebkurai informācijai par identificētu vai identificējamu personu; tā kā, lai noteiktu, vai persona ir identificējama, būtu jāņem vērā visi līdzekļi, kurus, iespējams, pamatoti izmantotu vai nu personas datu apstrādātājs, vai jebkura cita persona, lai identificētu minēto personu; tā kā aizsardzības principus nepiemēro anonīmi iesniegtiem datiem, ja datu subjekts vairs nav identificējams; [..].”

4        Direktīvas 95/46 1. pantā “Direktīvas mērķis” ir paredzēts:

“1.      Saskaņā ar šo direktīvu dalībvalstis aizsargā fizisku personu pamattiesības un brīvības un jo īpaši viņu tiesības uz privātās dzīves neaizskaramību attiecībā uz personas datu apstrādi.

2.      Dalībvalstis neierobežo un neaizliedz personas datu brīvu plūsmu starp dalībvalstīm, pamatojoties uz 1. punktā paredzēto aizsardzību.”

5        Šīs direktīvas 2. pants “Definīcijas” ir formulēts šādi:

“Šajā direktīvā:

[..]

b)      “personu datu apstrāde” (“apstrāde”) ir jebkura ar personas datiem veikta darbība vai darbību kopums ar vai bez automatizētiem līdzekļiem – kā vākšana, reģistrēšana, organizēšana, uzglabāšana, piemērošana vai pārveidošana, labošana, konsultēšana, izmantošana, atklāšana, pielietojot pārsūtīšanu, izplatīšanu vai darot tos pieejamus citādā veidā, grupēšana vai savienošana, piekļuves noslēgšana, dzēšana vai iznīcināšana;

[..]

d)      “personas datu apstrādātājs [pārzinis]” ir fiziska vai juridiska persona, valsts iestāde, aģentūra vai jebkura cita institūcija, kura viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus; ja apstrādes nolūkus un līdzekļus nosaka valsts vai [Savienības] tiesību akti vai noteikumi, personas datu apstrādātāju vai viņa iecelšanas konkrētos kritērijus var noteikt valsts vai [Savienības] tiesību akti;

e)      “apstrādātājs” ir fiziska vai juridiska persona, valsts iestāde, aģentūra vai jebkura cita struktūra, kura personas datu apstrādātāja interesēs apstrādā personas datus;

f)      “trešās personas” ir jebkura fiziska vai juridiska persona, valsts iestāde, aģentūra vai jebkura cita struktūra, kura nav datu subjekts, personas datu apstrādātājs [pārzinis], apstrādātājs un personas, kuras ir pilnvarotas apstrādāt datus personas datu apstrādātāja [pārziņa] vai apstrādātāja tiešā vadībā;

[..].”

6        Minētās direktīvas 4. panta “Piemērojamās valsts tiesības” 1. punktā ir noteikts:

“Katra dalībvalsts piemēro savas valsts noteikumus personas datu apstrādei, ko tā pieņem saskaņā ar šo direktīvu, ja:

a)      apstrādi veic saistībā ar personas datu apstrādātāja [pārziņa] pasākumiem dalībvalsts teritorijā; ja viens un tas pats personas datu apstrādātājs [pārzinis] ir reģistrēts vairāku dalībvalstu teritorijā, tam jāveic nepieciešamie pasākumi, lai nodrošinātu katras šīs iestādes atbilstību šīs valsts piemērojamo tiesību noteiktajām saistībām;

b)      personas datu apstrādātājs [pārzinis] ir reģistrēts nevis dalībvalsts teritorijā, bet gan vietā, kur šīs valsts tiesības piemēro, pamatojoties uz starptautiskajām publiskajām tiesībām;

c)      personas datu apstrādātājs [pārzinis] nav reģistrēts [Savienības] teritorijā un personas datu apstrādes nolūkiem izmanto automatizētu un citādu aprīkojumu, kas atrodas minētās dalībvalsts teritorijā, ja vien šis aprīkojums netiek izmantots vienīgi tranzīta nolūkiem caur [Savienības] teritoriju.”

7        Direktīvas 95/46 17. panta “Apstrādes drošība” 1. un 2. punktā ir noteikts:

“1.      Dalībvalstis paredz to, ka personas datu apstrādātājam [pārzinim] jāīsteno atbilstoši tehniski un organizatoriski pasākumi, lai aizsargātu personas datus pret nejaušu vai nelikumīgu iznīcināšanu vai nejaušu pazaudēšanu, pārveidošanu, nesankcionētu atklāšanu vai piekļuvi, īpaši, ja apstrāde ietver datu pārraidi pa elektronisko sakaru tīklu, un pret visām citām nelikumīgām apstrādes formām.

Ņemot vērā tehnisko un organizatorisko pasākumu pašreizējo līmeni un to īstenošanas izmaksas, šādi pasākumi nodrošina apstrādes un aizsargājamo datu raksturīgajiem riskiem atbilstošu drošības pakāpi.

2.      Dalībvalstis paredz to, ka personas datu apstrādātājam [pārzinim], ja apstrādi veic viņa interesēs, jāizvēlas datu apstrādātājs, sniedzot pietiekamas garantijas attiecībā par tehniskās drošības pasākumiem un veicamo apstrādi reglamentējošiem organizatoriskajiem pasākumiem, un jānodrošina šo pasākumu izpilde.”

8        Šīs direktīvas 24. pantā “Sankcijas” ir paredzēts:

“Dalībvalstis paredz atbilstošus pasākumus, lai nodrošinātu šīs direktīvas noteikumu ieviešanu pilnībā, un īpaši nosaka sankcijas, kas jāuzliek gadījumā, ja tiek pārkāpti saskaņā ar šo direktīvu pieņemtie noteikumi.”

9        Šīs direktīvas 28. pants “Uzraudzības iestāde” ir formulēts šādi:

“1.      Katra dalībvalsts paredz to, ka viena vai vairākas valsts iestādes ir atbildīgas par noteikumu, ko dalībvalstis pieņēmušas saskaņā ar šo direktīvu, piemērošanas pastāvīgu kontroli tās teritorijā.

Šīs iestādes tām uzticēto pienākumu izpildē darbojas pilnīgi neatkarīgi.

2.      Katra dalībvalsts paredz to, ka, izstrādājot administratīva rakstura pasākumus vai regulējumus attiecībā uz personas tiesību un brīvību aizsardzību, kas saistīta ar personas datu apstrādi, apspriežas ar uzraudzības iestādēm.

3.      Katrai iestādei ir piešķirtas:

–        izmeklēšanas pilnvaras, tādas kā datu, kuri veido apstrādes darbību priekšmetu, piekļuves pilnvaras un pilnvaras ievākt tās uzraudzības pienākumu izpildei visu vajadzīgo informāciju;

–        efektīvas iejaukšanās pilnvaras, tādas kā, piemēram, saskaņā ar 20. pantu atzinumu sniegšana pirms datu apstrādes darbību veikšanas un pilnvaras nodrošināt šādu atzinumu atbilstīgu nodošanu atklātībai, likt noslēgt piekļuvi, dzēst vai iznīcināt datus, noteikt pagaidu vai galīgu aizliegumu datu apstrādei, brīdināt vai izteikt aizrādījumu personas datu apstrādātājam [pārzinim] vai nodot jautājumu izskatīšanai valstu parlamentiem vai citām politiskām institūcijām;

–        pilnvaras uzsākt procesuālas darbības, ja pārkāpti saskaņā ar šo direktīvu pieņemtie attiecīgās valsts noteikumi vai darīt zināmus šos pārkāpumus tiesu iestādēm.

Uzraudzības iestādes lēmumus, kuri dod tiesības uz sūdzību procedūru, var pārsūdzēt tiesā.

[..]

6.      Katra uzraudzības iestāde ir kompetenta, lai kādas valsts tiesības tiktu piemērotas konkrētajai datu apstrādei, pati savas dalībvalsts teritorijā realizēt tai saskaņā ar 3. punktu piešķirtās pilnvaras. Katru uzraudzības iestādi var lūgt citas dalībvalsts iestāde realizēt tās pilnvaras.

Uzraudzības iestādes sadarbojas savā starpā, ciktāl tas nepieciešams to pienākumu izpildei, jo īpaši apmainoties ar visu lietderīgo informāciju.

[..]”

 Vācijas tiesības

10      Bundesdatenschutzgesetz (Federālais datu aizsardzības likums) redakcijā, kas piemērojama pamatlietas faktiskajiem apstākļiem (turpmāk tekstā – “BDSG”), 3. panta 7. punkts ir formulēts šādi:

“Par pārzini uzskata jebkuru personu vai struktūru, kura personas datus vāc, apstrādā vai izmanto vai nu pati, vai arī uzticot to darīt citiem.”

11      BDSG 11. pants “Personas datu vākšana, apstrāde vai izmantošana ar kāda cita apstrādāja starpniecību” ir formulēts šādi:

“(1)      Ja personas dati tiek vākti, apstrādāti vai izmantoti ar kādu citu struktūru starpniecību, par šā likuma un citu normatīvo aktu noteikumu par datu aizsardzību ievērošanu ir atbildīgs apstrādes pasūtītājs. [..]

(2)      Apstrādes izpildītājs ir rūpīgi jāizraugās, jo īpaši ņemot vērā tā veikto tehnisko un organizatorisko pasākumu piemērotību. Pasūtījums ir jānoformē rakstiski, sīki izklāstot jo īpaši šādus nosacījumus: [..]

Pasūtītājam ir pirms datu apstrādes uzsākšanas un pēc tam regulāri jāpārliecinās, ka tiek ievēroti izpildītāja veiktie tehniskie un organizatoriskie pasākumi. Rezultāts ir jādokumentē.

[..]”

12      BDSG 38. panta 5. punktā ir noteikts:

“Lai nodrošinātu, ka tiek ievērots šis likums un citas tiesību normas par datu aizsardzību, uzraudzības iestāde drīkst uzdot veikt pasākumus personas datu vākšanā, apstrādē vai izmantošanā konstatēto pārkāpumu vai tehnisko vai organizatorisko trūkumu novēršanai. Smagu pārkāpumu vai trūkumu – jo īpaši tādu, kas sevišķi apdraud tiesības uz privātās dzīves neaizskaramību, – gadījumā tā drīkst aizliegt vākšanu, apstrādi vai izmantošanu, vai kādu procedūru izmantošanu, ja, nepildot pirmajā teikumā minēto rīkojumu un neskatoties uz piespiedu naudas piemērošanu, attiecīgie pārkāpumi vai trūkumi netiek savlaicīgi novērsti. Tā drīkst pieprasīt atbrīvot no amata datu aizsardzības speciālistu, ja viņam trūkst savu pienākumu izpildei vajadzīgās lietpratības un uzticamības.”

13      2007. gada 26. februāra Telemediengesetz (Elektronisko plašsaziņas līdzekļu likums) (BGBl. 2007 I, 179. lpp.; turpmāk tekstā – “TMG”) 12. panta formulējums ir šāds:

“(1)      Elektronisko plašsaziņas līdzekļu pieejamības nodrošināšanas nolūkā pakalpojumu sniedzējs drīkst vākt un izmantot personas datus tikai tiktāl, ciktāl to atļauj šis likums vai cita tiesību norma, kas tieši attiecas uz elektroniskajiem plašsaziņas līdzekļiem, vai ja lietotājs ir devis savu piekrišanu.

[..]

(3)      Ciktāl nav noteikts citādi, spēkā esošās tiesību normas attiecībā uz personas datu aizsardzību ir piemērojamas arī tad, ja dati netiek apstrādāti automatizēti.”

 Pamatlieta un prejudiciālie jautājumi

14      Wirtschaftsakademie sniedz mācību pakalpojumus ar Facebook mitinātas fanu lapas palīdzību.

15      Fanu lapas ir lietotāju konti, ko privātpersonas un uzņēmumi var izveidot Facebook vietnē. Lai to izdarītu, fanu lapas veidotājam ir jāreģistrējas Facebook, un tādējādi viņš var izmantot šā sociālā tīkla uzturēto platformu, lai iepazīstinātu tā lietotājus ar sevi un izplatītu visāda veida paziņojumus plašsaziņas līdzekļu un viedokļu tirgū. Fanu lapu uzturētāji var saņemt anonīmus statistikas datus par šo lapu apmeklētājiem, izmantojot funkciju “Facebook‑Insight”, ko Facebook bez maksas nodrošina saskaņā ar tipveida lietošanas nosacījumiem. Šie dati tiek vākti, izmantojot sīkdatnes, kuras katra ietver unikālu lietotājkodu un ir aktīvas divus gadus, un kuras Facebook saglabā fanu lapas apmeklētāju datora vai cita datu nesēja cietajā diskā. Lietotājkods, kas var tikt saistīts ar Facebook reģistrēto lietotāju pieslēgšanās datiem, tiek apkopots un apstrādāts fanu lapu atvēršanas brīdī. Šajā ziņā no iesniedzējtiesas lēmuma izriet, ka vismaz pamatlietā aplūkotajā laikposmā nedz Wirtschaftsakademie, nedz FacebookIreland Ltd nav norādījušas uz šo sīkdatņu saglabāšanu un darbību vai datu vēlāku apstrādi.

16      Ar 2011. gada 3. novembra lēmumu (turpmāk tekstā – “apstrīdētais lēmums”) ULD – kā Direktīvas 95/46 28. pantā paredzētā uzraudzības iestāde, kuras pienākumos ietilpst uzraudzīt, kā Šlēsvigas‑Holšteinas federālajā zemē (Vācija) tiek piemērotas tiesību normas, ko Vācijas Federatīvā Republika ir pieņēmusi šīs direktīvas transponēšanai, – uzdeva Wirtschaftsakademie atbilstoši BDSG 38. panta 5. panta pirmajam teikumam deaktivizēt fanu lapu, ko tā bija atvērusi Facebook šādā adresē: https://www.Facebook.com/Wirtschaftsakademie, paredzot piespiedu naudu par rīkojuma neizpildi noteiktajā termiņā, pamatojoties uz to, ka ne Wirtschaftsakademie, ne Facebook nav informējuši fanu lapas apmeklētājus par to, ka Facebook ar sīkdatņu palīdzību apkopoja ar viņiem saistīto personiska rakstura informāciju un pēc tam šo informāciju apstrādāja. Wirtschaftsakademie iesniedza sūdzību par šo lēmumu, būtībā apgalvodama, ka saskaņā ar piemērojamajām datu aizsardzības tiesībām tā nav atbildīga ne par Facebook veikto datu apstrādi, ne par šā tīkla ievietotajām sīkdatnēm.

17      Ar 2011. gada 16. decembra lēmumu ULD noraidīja šo sūdzību, uzskatot, ka Wirtschaftsakademie kā pakalpojumu sniedzēja atbildība ir pamatota ar TMG 3. panta 3. punkta 4. apakšpunktu un 12. panta 1. punktu, lasot tos kopsakarā ar BDSG 3. panta 7. punktu. ULD izklāstīja, ka, izveidojot savu fanu lapu, Wirtschaftsakademie ir aktīvi un apzināti līdzdarbojusies Facebook veiktajā šīs fanu lapas apmeklētāju personas datu vākšanā, gūdama labumu no šiem datiem ar Facebook tās rīcībā nodotās statistikas palīdzību.

18      Wirtschaftsakademie par šo lēmumu cēla prasību Verwaltungsgericht (Administratīvā tiesa, Vācija), apgalvojot, ka tā nevarot būt atbildīga par Facebook veikto datu apstrādi un ka tā arī neesot uzdevusi – kā paredzēts BDSG 11. pantā – Facebook veikt tādu datu apstrādi, kas būtu tās kontrolē vai ko tā varētu ietekmēt. No tā Wirtschaftsakademie secināja, ka ULD esot bijis jāvēršas tieši pret Facebook, nevis jāpieņem apstrīdētais lēmums attiecībā uz Wirtschaftsakademie.

19      Ar 2013. gada 9. oktobra spriedumu Verwaltungsgericht (Administratīvā tiesa) atcēla apstrīdēto lēmumu, būtībā apgalvojot, ka, tā kā Facebook fanu lapas uzturētājs neesot pārzinis BDSG 3. panta 7. punkta izpratnē, Wirtschaftsakademie nevarot būt BDSG 38. panta 5. punktā paredzētā rīkojuma adresāte.

20      Oberverwaltungsgericht (Federālās zemes Augstākā administratīvā tiesa, Vācija) kā nepamatotu noraidīja ULD apelācijas sūdzību par šo spriedumu. Minētā tiesa būtībā uzskatīja, ka apstrīdētajā lēmumā noteiktais datu apstrādes aizliegums esot prettiesisks, jo BDSG 38. panta 5. punkta otrajā teikumā ir paredzēta pakāpeniska procedūra, kuras pirmajā posmā ir atļauts tikai veikt pasākumus datu apstrādē konstatēto pārkāpumu novēršanai. Tūlītējs datu apstrādes aizliegums esot paredzēts tikai tad, ja datu apstrādes process ir kopumā nepieļaujams un ja to var novērst, vienīgi apturot šo procesu. Taču Oberverwaltungsgericht (Federālās zemes Augstākā administratīvā tiesa) ieskatā, šīs lietas gadījumā tas tā neesot bijis, jo ULD apgalvotos pārkāpumus Facebook esot bijusi iespēja novērst.

21      Oberverwaltungsgericht (Federālās zemes Augstākā administratīvā tiesa) piebilda, ka apstrīdētais lēmums esot prettiesisks arī tāpēc, ka BDSG 38. panta 5. punktā paredzēto rīkojumu var izdot tikai attiecībā uz pārzini BDSG 3. panta 7. punkta izpratnē, par kādu saistībā ar Facebook vāktajiem datiem gan nav uzskatāma Wirtschaftsakademie. Proti, par Facebook Insight funkcijas ietvaros izmantoto personas datu vākšanas un apstrādes mērķi un līdzekļiem lemj tikai Facebook, savukārt Wirtschaftsakademie saņem tikai anonimizētu statistikas informāciju.

22      ULD iesniedza pārskatīšanas (Revision) prasību Bundesverwaltungsgericht (Federālā administratīvā tiesa, Vācija), citu argumentu starpā apgalvojot, ka ar apelācijas tiesas nolēmumu esot pārkāpts BDSG 38. panta 5. punkts, kā arī esot pieļautas vairākas procesuālās kļūdas. Tā uzskata, ka Wirtschaftsakademie ir izdarījusi pārkāpumu, uzticēdama savas tīmekļvietnes izveidošanu, mitināšanu un uzturēšanu pakalpojumu sniedzējam – šajā lietā FacebookIreland –, kurš nav piemērots, jo neievēro datu aizsardzības jomā piemērojamās tiesības. Tādējādi ar apstrīdēto lēmumu Wirtschaftsakademie adresētā fanu lapas deaktivizēšanas rīkojuma mērķis esot bijis novērst šo pārkāpumu, jo rīkojumā tai esot ticis aizliegts turpināt izmantot Facebook infrastruktūru kā savas tīmekļvietnes tehnisko bāzi.

23      Pēc Bundesverwaltungsgericht (Federālā administratīvā tiesa) – gluži tāpat kā Oberverwaltungsgericht (Federālās zemes Augstākā administratīvā tiesa) – domām, Wirtschaftsakademie pati par sevi nav uzskatāma par datu pārzini BDSG 3. panta 7. punkta vai Direktīvas 95/46 2. panta d) punkta izpratnē. Tomēr minētā tiesa uzskata, ka, lai efektīvi aizsargātu tiesības uz privātās dzīves neaizskaramību, šis jēdziens – kā Tiesa to esot atzinusi savā jaunākajā judikatūrā par šo jautājumu – principā ir jāinterpretē plaši. Turklāt tai ir šaubas par to, kādas pilnvaras šajā gadījumā ir ULD attiecībā uz FacebookGermany, ievērojot, ka Facebook koncernā par personas datu vākšanu un apstrādi Savienības mērogā ir atbildīga FacebookIreland. Visbeidzot, tā prāto par to, kā ULD iejaukšanās pilnvaru izmantošanu ietekmē vērtējums, ko jautājumā par attiecīgo personas datu apstrādes tiesiskumu ir veikusi par FacebookIreland atbildīgā uzraudzības iestāde.

24      Šādos apstākļos Bundesverwaltungsgericht (Federālā administratīvā tiesa) ir nolēmusi apturēt tiesvedību un uzdot Tiesai šādus prejudiciālos jautājumus:

“1)      Vai Direktīvas [95/46] 2. panta d) punkts ir interpretējams tādējādi, ka tas galīgi un izsmeļoši reglamentē atbildību par datu aizsardzības pārkāpumiem, vai tomēr [šīs direktīvas] 24. pantā paredzēto “atbilstošo pasākumu” un tās 28. panta 3. punkta otrajā ievilkumā paredzēto “efektīvo iejaukšanās pilnvaru” kontekstā, izvēloties pakalpojumu sniedzēju savam informācijas piedāvājumam, informācijas sniedzēju daudzpakāpju attiecībās paliek vieta tādas institūcijas atbildībai, kas nav atbildīga par datu apstrādi [minētās direktīvas] 2. panta d) punkta izpratnē?

2)      Vai no Direktīvas [95/46] 17. panta 2. punktā noteiktā dalībvalstu pienākuma gadījumā, ja datu apstrādi veic kāda cita interesēs, paredzēt, ka pārzinim “[jāizvēlas] datu apstrādātājs, sniedzot pietiekamas garantijas attiecībā par tehniskās drošības pasākumiem un veicamo apstrādi reglamentējošiem organizatoriskajiem pasākumiem”, a contrario izriet, ka citu lietošanas attiecību gadījumā, kas nav saistītas ar datu apstrādi kāda cita interesēs [šīs direktīvas] 2. panta e) punkta izpratnē, nav pienākuma rūpīgi veikt izvēli un tādu nevar paredzēt arī saskaņā ar valsts tiesībām?

3)      Vai gadījumos, kad ārpus Savienības teritorijas izvietotam mātesuzņēmumam dažādās dalībvalstīs ir juridiski patstāvīgi uzņēmumi (meitasuzņēmumi), attiecīgās dalībvalsts (šajā gadījumā – Vācijas) uzraudzības iestāde saskaņā ar Direktīvas [95/46] 4. pantu un 28. panta 6. punktu ir tiesīga attiecībā uz dalībvalsts teritorijā esošo uzņēmumu īstenot savas pilnvaras, kas tai piešķirtas ar [tās] 28. panta 3. punktu, arī tad, ja šis uzņēmums ir atbildīgs tikai par reklāmas tirdzniecības veicināšanu un citiem tirgvedības pasākumiem un tā mērķauditorija ir attiecīgās dalībvalsts iedzīvotāji, bet ekskluzīvā atbildība par personu datu vākšanu un apstrādi visā Eiropas Savienības teritorijā un līdz ar to arī citā dalībvalstī (šajā gadījumā – Vācijā) saskaņā ar uzņēmumu grupas ietvaros veikto funkciju sadali ir citā dalībvalstī (šajā gadījumā – Īrijā) izvietotam patstāvīgam uzņēmumam (meitasuzņēmumam), ja faktiski lēmumu par datu apstrādi pieņem mātesuzņēmums?

4)      Vai Direktīvas [95/46] 4. panta 1. punkta [a) apakšpunkts] un 28. panta 3. punkts interpretējami tādējādi, ka gadījumos, kad personas datu apstrādātājam kādas dalībvalsts (šajā gadījumā – Īrijas) teritorijā pieder uzņēmums un vēl cits juridiski patstāvīgs uzņēmums darbojas citas dalībvalsts (šajā gadījumā – Vācijas) teritorijā, kur tā kompetence tostarp ir reklāmas laukumu pārdošana un darbības mērķauditorija ir attiecīgās valsts iedzīvotāji, šajā citā dalībvalstī (šajā gadījumā – Vācijā) kompetentā uzraudzības iestāde datu aizsardzības tiesību īstenošanas nolūkā var īstenot pasākumus un izdot rīkojumus šim citam uzņēmumam (šajā gadījumā – Vācijā), kurš saskaņā ar uzņēmumu grupas ietvaros veikto funkciju un atbildības sadali nav atbildīgs par datu apstrādi, vai arī šādus pasākumus var īstenot un rīkojumus izdot tikai tās dalībvalsts (šajā gadījumā – Īrijas) uzraudzības iestāde, kuras teritorijā atrodas uzņēmumu grupas ietvaros atbildīgā struktūra?

5)      Vai Direktīvas [95/46] 4. panta 1. punkta a) apakšpunkts un 28. panta 3. un 6. punkts interpretējami tādējādi, ka gadījumos, kad kādas dalībvalsts (šajā gadījumā – Vācijas) uzraudzības iestāde atbilstoši [šīs direktīvas] 28. panta 3. punktam vēršas pret personu vai institūciju, kas darbojas tās teritorijā, par neatbilstīgi veiktu trešās personas izvēli, kas iesaistīta datu apstrādes procesā, (šajā gadījumā – Facebook), jo attiecīgā trešā persona pārkāpj datu aizsardzības tiesību normas, kontrolējošajai uzraudzības iestādei (šajā gadījumā – Vācijā) ir saistošs tās dalībvalsts uzraudzības iestādes sniegts datu aizsardzības vērtējums, kurā atrodas par datu apstrādi atbildīgās trešās personas [pārziņa] uzņēmums (šajā gadījumā – Īrijā), tādā nozīmē, ka tā nevar sniegt atšķirīgu juridisku vērtējumu, vai arī kontrolējošā uzraudzības iestāde (šajā gadījumā – Vācijā) var patstāvīgi veikt citā dalībvalstī (šajā gadījumā – Īrijā) rezidējošas trešās personas datu apstrādes likumības pārbaudi kā provizorisku jautājumu par savas darbības likumību?

6)      Ja kontroli īstenojošā uzraudzības iestāde (šajā gadījumā – Vācijā) var patstāvīgi veikt pārbaudi, vai Direktīvas 95/46 28. panta 6. punkta otrais teikums ir interpretējams tādējādi, ka attiecīgā uzraudzības iestāde savas efektīvas iejaukšanās pilnvaras, kas tai piešķirtas ar [šīs] direktīvas 28. panta 3. punktu, pret tās teritorijā rezidējošu personu vai institūciju par līdzatbildību par datu aizsardzības pārkāpumiem var īstenot tikai un vienīgi tad, ja tā iepriekš ir lūgusi šīs citas dalībvalsts (šajā gadījumā – Īrijas) uzraudzības iestādi īstenot tai piešķirtās pilnvaras?”

 Par prejudiciālajiem jautājumiem

 Par pirmo un otro jautājumu

25      Ar pirmo un otro jautājumu, kuri ir jāiztirzā kopā, iesniedzējtiesa vēlas noskaidrot, vai Direktīvas 95/46 2. panta d) punkts, 17. panta 2. punkts, 24. pants un 28. panta 3. punkta otrais ievilkums ir jāinterpretē tādējādi, ka tie ļauj konstatēt kādas struktūras kā sociālajā tīklā mitinātas fanu lapas uzturētāja atbildību personas datu aizsardzību reglamentējošo noteikumu pārkāpuma gadījumā tāpēc, ka tā izvēlējusies izmantot šo sociālo tīklu sava informācijas piedāvājuma izplatīšanai.

26      Lai atbildētu uz šiem jautājumiem, ir jāatgādina, ka Direktīvas 95/46 mērķis – kā izriet no tās 1. panta 1. punkta un preambulas 10. apsvēruma – ir nodrošināt fizisko personu pamattiesību un brīvību, it īpaši viņu tiesību uz privātās dzīves neaizskaramību saistībā ar personas datu apstrādi, augstu aizsardzības līmeni (spriedums, 2014. gada 11. decembris, Ryneš, C‑212/13, EU:C:2014:2428, 27. punkts un tajā minētā judikatūra).

27      Saskaņā ar šo mērķi šīs direktīvas 2. panta d) punktā jēdziens “personas datu apstrādātājs [pārzinis]” ir definēts plaši kā fiziska vai juridiska persona, valsts iestāde, aģentūra vai jebkura cita institūcija, kura viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus.

28      Proti, kā Tiesa jau nospriedusi, šīs tiesību normas mērķis ir, plaši definējot jēdzienu “pārzinis”, nodrošināt attiecīgo personu efektīvu un pilnīgu aizsardzību (spriedums, 2014. gada 13. maijs, Google Spain un Google, C‑131/12, EU:C:2014:317, 34. punkts).

29      Turklāt tā kā – atbilstoši Direktīvas 95/46 2. panta d) punktā skaidri paredzētajam – ar jēdzienu “personas datu apstrādātājs [pārzinis]” ir domāta institūcija, “kura viena pati vai kopīgi ar citām” nosaka personas datu apstrādes nolūkus un līdzekļus, šis jēdziens var arī nenozīmēt kādu vienu institūciju, bet gan attiekties uz vairākiem subjektiem, kas piedalās šajā apstrādē, un tādā gadījumā personas datu apstrādi reglamentējošās tiesību normas ir piemērojamas katram no tiem.

30      Šajā gadījumā ir jāuzskata, ka par Facebook lietotāju, kā arī Facebook mitināto fanu lapu apmeklētāju personas datu apstrādes nolūkiem un līdzekļiem lemj galvenokārt FacebookInc. un – Savienības kontekstā – FacebookIreland, kuras tādējādi ietilpst jēdzienā “personas datu apstrādātājs [pārzinis]” Direktīvas 95/46 2. panta d) punkta izpratnē, un tas šajā lietā netiek apstrīdēts.

31      Tomēr, lai atbildētu uz uzdotajiem jautājumiem, ir jānosaka, vai un cik lielā mērā tāds Facebook mitinātas fanu lapas uzturētājs kā Wirtschaftsakademie šīs fanu lapas kontekstā kopīgi ar FacebookIreland un FacebookInc. piedalās minētās fanu lapas apmeklētāju personas datu apstrādes nolūku un līdzekļu noteikšanā un tātad arī var tikt uzskatīts par “personas datu apstrādātāju [pārzini]” Direktīvas 95/46 2. panta d) punkta izpratnē.

32      Šajā ziņā ikviens, kas vēlas Facebook tīklā izveidot fanu lapu, ar FacebookIreland acīmredzot – un to noskaidrot ir valsts tiesas ziņā – slēdz īpašu līgumu par šādas lapas atvēršanu un līdz ar to piekrīt šīs lapas lietošanas nosacījumiem, ieskaitot ar to saistīto politiku sīkdatņu jautājumā.

33      No Tiesai iesniegtajiem lietas materiāliem izriet, ka pamatlietā aplūkotā datu apstrāde tiek veikta tādējādi, ka fanu lapu apmeklējušo personu datorā vai citā ierīcē tīkls Facebook ievieto sīkdatnes, ar kurām paredzēts saglabāt informāciju par tīmekļa pārlūkprogrammām un kuras ir aktīvas divus gadus, ja netiek izdzēstas. No tiem arī izriet, ka praksē šo sīkdatnēs saglabāto informāciju Facebook saņem, reģistrē un apstrādā konkrēti tad, kad persona apmeklē lapu “Facebook pakalpojumi, citu Facebook uzņēmumu piedāvātie pakalpojumi un citu Facebook pakalpojumus izmantojošo uzņēmumu pakalpojumi”. Arī citi subjekti, piemēram, Facebook partneri vai pat trešās personas, “var iespējami izmantot sīkdatnes Facebook pakalpojumos, lai [varētu piedāvāt pakalpojumus tieši šim sociālajam tīklam], kā arī uzņēmumiem, kas Facebook vietnē izvieto reklāmu”.

34      Šī personas datu apstrāde ir paredzēta tostarp tam, lai ļautu, no vienas puses, Facebook pilnveidot savu sistēmu reklāmas izplatīšanai savā tīklā, un, no otras puses, fanu lapas uzturētājam savas darbības reklamēšanas nolūkiem iegūt statistikas datus, ko Facebook gūst no šis lapas apmeklējumiem un ar kuru palīdzību tas var uzzināt, piemēram, kāds ir tā fanu lapu atzinīgi vērtējošo apmeklētāju profils, lai tas spētu tiem piedāvāt atbilstošāku saturu un izstrādāt funkcionalitātes, kas tos varētu interesēt vairāk.

35      Lai arī tāda sociālā tīkla kā Facebook izmantošana pati par sevi vēl nepadara Facebook lietotāju par līdzatbildīgu par personas datu apstrādi, ko veic šis tīkls, tomēr jānorāda, ka Facebook mitinātas fanu lapas uzturētājs, izveidojot šādu lapu, sniedz Facebook iespēju ievietot sīkdatnes tā fanu lapu apmeklējušo personu datoros vai citās ierīcēs neatkarīgi no tā, vai attiecīgajai personai ir Facebook konts.

36      Šajā ziņā no Tiesai sniegtās informācijas izriet, ka, lai varētu Facebook tīklā izveidot fanu lapu, ir vajadzīgs, lai tās uzturētājs iestatītu tostarp gan savai mērķauditorijai, gan savas darbības vadības vai reklamēšanas mērķiem atbilstošus parametrus, un šī iestatīšana ietekmē personas datu apstrādi nolūkā gūt no fanu lapas apmeklējumiem izrietošo statistiku. Šis uzturētājs var, izmantojot filtrus, ko tā rīcībā nodod Facebook, noteikt kritērijus, pēc kuriem nosakāma šī statistika, un pat noteikt to personu kategorijas, kuru personas datus izmantos Facebook. Līdz ar to Facebook vietnē mitinātas fanu lapas uzturētājs līdzdarbojas savas lapas apmeklētāju personas datu apstrādē.

37      Proti, fanu lapas uzturētājs var pieprasīt, lai viņam tiktu iesniegti – un tātad lūgt, lai tiktu apstrādāti – demogrāfiski dati par viņa mērķauditoriju, tostarp par vecuma, dzimuma, attiecību un profesionālā statusa tendencēm; informācija par viņa mērķauditorijas dzīvesveidu un interesēm, kā arī informācija par viņa lapas apmeklētāju pirkumiem un tiešsaistē veiktās iepirkšanās ieradumiem, par preču un pakalpojumu kategorijām, kas šo mērķauditoriju interesē visvairāk, kā arī ģeogrāfiski dati, kas fanu lapas uzturētājam ļauj uzzināt, kur īstenot īpašus reklāmas piedāvājumus un rīkot pasākumus un vispārīgāk padarīt savu informācijas piedāvājumu pēc iespējas mērķtiecīgāku.

38      Lai arī Facebook sarūpētā apmeklētāju loka statistika fanu lapas uzturētājam patiešām tiek nosūtīta tikai anonimizētā formā, šī statistika tiek sagatavota, iepriekš ar sīkdatnēm, kuras Facebook ievieto šo lapu apmeklējušo personu datorā vai citā ierīcē, savācot un šādiem statistikas mērķiem apstrādājot šo apmeklētāju personas datus. Direktīvā 95/46 katrā ziņā netiek prasīts, lai gadījumā, kad par vienu apstrādi kopīgi atbild vairāki subjekti, attiecīgie personas dati būtu pieejami katram no tiem.

39      Šādos apstākļos ir jākonstatē, ka tāds Facebook vietnē mitinātas fanu lapas uzturētājs kā Wirtschaftsakademie, iestatot parametrus atbilstoši tostarp savai mērķauditorijai, kā arī savas darbības vadības vai reklāmas mērķiem, piedalās savas fanu lapas personas datu apstrādes nolūku un līdzekļu noteikšanā. Tāpēc šis uzturētājs šajā gadījumā ir jākvalificē kā Savienībā kopīgi ar FacebookIreland par šādu apstrādi atbildīgais pārzinis Direktīvas 95/46 2. panta d) punkta izpratnē.

40      Proti, tas, ka fanu lapas uzturētājs izmanto Facebook izveidotu platformu, lai gūtu labumu no pakalpojumiem, kas ar to saistīti, viņu nevar atbrīvot no pienākumiem personas datu aizsardzības jomā.

41      Turklāt ir jāuzsver, ka Facebook mitinātās fanu lapas var apmeklēt arī personas, kuras nav Facebook lietotāji un kurām tātad nav lietotāja konta šajā sociālajā tīklā. Šajā gadījumā fanu lapas uzturētāja atbildība par šo personu personas datu apstrādi šķiet esam vēl lielāka, jo jau ar to vien, ka apmeklētāji apmeklē šo fanu lapu, tiek automātiski uzsākta viņu personas datu apstrāde.

42      Šajos apstākļos sociālā tīkla pārvaldnieka un šajā tīklā mitinātās fanu lapas uzturētāja kopīgās atbildības atzīšana saistībā ar šīs lapas apmeklētāju personas datu apstrādi palīdz nodrošināt, ka atbilstoši Direktīvas 95/46 prasībām tiek pilnīgāk aizsargātas fanu lapu apmeklējošo personu tiesības.

43      Tomēr ir jāprecizē – kā ģenerāladvokāts norādījis secinājumu 75. un 76. punktā – kopīgas atbildības esamība ne vienmēr nozīmē, ka dažādie ar personas datu apstrādi saistītie subjekti būtu vienādi atbildīgi. Gluži pretēji, šie subjekti var būt iesaistīti dažādos šīs apstrādes posmos un atšķirīgā mērā, un tāpēc tas, cik lielā mērā katrs no tiem ir atbildīgs, ir jāvērtē, ņemot vērā visus būtiskos lietas apstākļus.

44      Ņemot vērā iepriekš izklāstīto, uz pirmo un otro jautājumu ir jāatbild, ka Direktīvas 95/46 2. panta d) punkts ir jāinterpretē tādējādi, ka jēdziens “personas datu apstrādātājs [pārzinis]” šīs tiesību normas izpratnē ietver sociālajā tīklā mitinātas fanu lapas uzturētāju.

 Par trešo un ceturto jautājumu

45      Ar savu trešo un ceturto jautājumu, kas ir jāizskata kopā, iesniedzējtiesa būtībā vēlas noskaidrot, vai Direktīvas 95/46 4. un 28. punkts ir jāinterpretē tādējādi, ka gadījumā, ja ārpus Savienības iedibinātam uzņēmumam ir vairāki dažādās dalībvalstīs esoši dibinājumi, pilnvaras, kas kādas dalībvalsts uzraudzības iestādei ir piešķirtas šīs direktīvas 28. panta 3. punktā, šī iestāde ir tiesīga izmantot attiecībā uz šīs dalībvalsts teritorijā esošu dibinājumu pat tad, ja atbilstoši koncerna ietvaros esošajam uzdevumu sadalījumam, pirmkārt, šā dibinājuma pārziņā ir tikai reklāmas laukumu pārdošana un citas mārketinga darbības minētās dalībvalsts teritorijā un, otrkārt, ekskluzīvā atbildība par personas datu vākšanu un apstrādi visā Savienības teritorijā ir dibinājumam, kas atrodas kādā citā dalībvalstī, vai arī attiecībā uz šo otro dibinājumu pilnvaras izmantot ir tiesīga šīs citas dalībvalsts uzraudzības iestāde.

46      ULD un Itālijas valdība apšauba šo jautājumu pieņemamību, jo tiem neesot nozīmes pamatlietā esošā strīda izšķiršanā. Proti, apstrīdētā lēmuma adresāts esot Wirtschaftsakademie, un tāpēc šis lēmums neattiecoties nedz uz pašu FacebookInc., nedz kādu no tās Savienības teritorijā esošajiem meitasuzņēmumiem.

47      Šajā ziņā ir jāatgādina, ka LESD 267. pantā noteiktās sadarbības starp Tiesu un valstu tiesām procedūras ietvaros tikai valsts tiesa, kura izskata strīdu un kurai ir jāuzņemas atbildība par pieņemamo tiesas nolēmumu, ir tā, kas, ņemot vērā lietas īpatnības, izvērtē gan to, cik lielā mērā prejudiciālais nolēmums ir vajadzīgs, lai šī tiesa varētu taisīt spriedumu, gan to, cik atbilstīgi ir Tiesai uzdotie jautājumi. Līdz ar to Tiesai principā ir jāsniedz nolēmums, ja uzdotie jautājumi attiecas uz Savienības tiesību interpretāciju (spriedums, 2016. gada 6. septembris, Petruhhin, C‑182/15, EU:C:2016:630, 19. punkts un tajā minētā judikatūra).

48      Šajā gadījumā jānorāda, ka – pēc iesniedzējtiesas teiktā – Tiesas atbilde uz trešo un ceturto prejudiciālo jautājumu tai ir vajadzīga, lai izspriestu pamatlietu. Proti, tā paskaidro, ka gadījumā, ja, ņemot vērā šo atbildi, tiktu konstatēts, ka ULD varētu novērst apgalvotos tiesību uz personas datu aizsardzību aizskārumus, veicot pasākumu pret FacebookGermany, šā apstākļa dēļ būtu konstatējams, ka ar apstrīdēto lēmumu ir pieļauta kļūda vērtējumā tādā ziņā, ka šis lēmums attiecībā uz Wirtschaftsakademie būtu bijis pieņemts netaisnīgi.

49      Šādos apstākļos trešais un ceturtais jautājums ir jāatzīst par pieņemamiem.

50      Lai varētu atbildēt uz šiem jautājumiem, ievadam jāatgādina, ka saskaņā ar Direktīvas 95/46 28. panta 1. un 3. punktu katra uzraudzības iestāde īsteno tai valsts tiesībās piešķirtās pilnvaras tās dalībvalsts teritorijā, kurai tā ir piederīga, lai nodrošinātu, ka šajā teritorijā tiek ievēroti noteikumi personas datu aizsardzības jomā (šajā nozīmē skat. spriedumu, 2015. gada 1. oktobris, Weltimmo, C‑230/14, EU:C:2015:639, 51. punkts).

51      Jautājums par to, kuras valsts tiesības ir piemērojamas personas datu apstrādei, ir reglamentēts Direktīvas 95/46 4. pantā. Šā panta 1. punkta a) apakšpunktā ir noteikts, ka katra dalībvalsts personas datu apstrādei piemēro savas valsts noteikumus, kurus tā pieņem saskaņā ar šo direktīvu, ja apstrāde tiek veikta pārziņa dalībvalsts teritorijā esoša dibinājuma darbības ietvaros. Šajā tiesību normā ir precizēts, ka gadījumā, ja viens un tas pats personas datu pārzinis ir reģistrēts vairāku dalībvalstu teritorijā, tam ir jāveic nepieciešamie pasākumi, lai nodrošinātu, ka šīs valsts piemērojamajos tiesību aktos paredzētās saistības ievēro katrs tā dibinājums.

52      No šīs tiesību normas, lasot to kopsakarā ar Direktīvas 95/46 28. panta 1. un 3. punktu, izriet, ka tad, ja tās dalībvalsts tiesību akti, kurai ir piederīga uzraudzības iestāde, saskaņā ar 4. panta 1. punkta a) apakšpunktu ir piemērojami tāpēc, ka attiecīgā apstrāde tiek veikta pārziņa šīs dalībvalsts teritorijā esoša dibinājuma darbības ietvaros, šī uzraudzības iestāde var īstenot visas tai šajos tiesību aktos piešķirtās pilnvaras attiecībā uz šo dibinājumu neatkarīgi no tā, vai personas datu pārzinim ir dibinājumi arī kādās citās dalībvalstīs.

53      Tādējādi, lai noskaidrotu, vai tādos apstākļos kā pamatlietā uzraudzības iestādei ir pamats savas pilnvaras, kas tai piešķirtas valsts tiesību aktos, izmantot attiecībā uz savas piederības dalībvalsts teritorijā esošu dibinājumu, ir jāpārbauda, vai ir izpildīti abi Direktīvas 96/46 4. panta 1. punkta a) apakšpunktā paredzētie nosacījumi, proti, pirmkārt, vai tas ir “personas datu apstrādātāja [pārziņa dibinājums]” šīs tiesību normas izpratnē, un, otrkārt, vai minētā apstrāde tiek veikta šā dibinājuma “[darbības ietvaros]” šīs pašas tiesību normas izpratnē.

54      Runājot, pirmām kārtām, par nosacījumu, ka personas datu pārzinim ir jābūt dibinājumam attiecīgās uzraudzības iestādes dalībvalstī, ir jāatgādina, ka saskaņā ar Direktīvas 95/46 preambulas 19. apsvērumā teikto iedibināšanās dalībvalsts teritorijā ir tad, ja ar pastāvīga veidojuma palīdzību tiek faktiski un reāli veikta darbība, un šajā ziņā nav izšķirošas nozīmes tam, kādā juridiskā formā attiecīgais dibinājums ir noformēts, proti, kā tikai filiāle vai arī kā meitasuzņēmums ar juridiskās personas statusu (spriedums, 2015. gada 1. oktobris, Weltimmo, C‑230/14, EU:C:2015:639, 28. punkts un tajā minētā judikatūra).

55      Šajā lietā nav strīda par to, ka FacebookInc. kā personas datu pārzinim kopā ar FacebookIreland ir pastāvīgs dibinājums Vācijā, proti, FacebookGermany, kas atrodas Hamburgā, un ka šī nupat minētā sabiedrība minētajā dalībvalstī reāli un faktiski darbojas. Tāpēc tā ir dibinājums Direktīvas 95/46 4. panta 1. punkta a) apakšpunkta izpratnē.

56      Runājot, otrām kārtām, par nosacījumu, ka personas datu apstrādei ir jānotiek attiecīgā dibinājuma “[darbības ietvaros]”, vispirms ir jāatgādina, ka, ņemot vērā Direktīvas 95/46 mērķi, kas ir nodrošināt fizisko personu pamattiesību un brīvību pilnīgu un efektīvu aizsardzību, it īpaši viņu tiesību uz privātās dzīves neaizskaramību saistībā ar personas datu apstrādi aizsardzību, frāze “[dibinājuma darbības ietvaros]” nevar tikt interpretēta šauri (spriedums, 2015. gada 1. oktobris, Weltimmo, C‑230/14, EU:C:2015:639, 25. punkts un tajā minētā judikatūra).

57      Turklāt jāuzsver, ka Direktīvas 95/46 4. panta 1. punkta a) apakšpunktā ir prasīts nevis, lai attiecīgo personas datu apstrādi būtu veicis pats attiecīgais dibinājums, bet gan vienīgi tas, lai šī apstrāde būtu veikta tā “darbības ietvaros” (spriedums, 2014. gada 13. maijs, Google Spain un Google, C‑131/12, EU:C:2014:317, 52. punkts).

58      Šajā gadījumā no lūguma sniegt prejudiciālu nolēmumu un FacebookIreland iesniegtajiem rakstveida apsvērumiem izriet, ka FacebookGermany pārziņā ir reklamēt un pārdot reklāmas laukumus un tās darbība ir vērsta uz Vācijā dzīvojošām personām.

59      Kā atgādināts šā sprieduma 33. un 34. punktā, pamatlietā aplūkotā personas datu apstrāde, ko veic FacebookInc. kopā ar FacebookIreland un kas ietver šādu datu vākšanu, izmantojot Facebook vietnē mitināto fanu lapu apmeklētāju datoros vai citās ierīcēs ievietotas sīkdatnes, tiek veikta ar konkrētu mērķi pavērt šim sociālajam tīklam iespēju uzlabot savu reklāmas sistēmu, lai padarītu mērķtiecīgākus tās izplatītos paziņojumus.

60      Taču kā savu secinājumu 94. punktā norāda ģenerāladvokāts, ņemot vērā, pirmkārt, ka tāds sociālais tīkls kā Facebook ievērojamu daļu savu ieņēmumu gūst tieši no reklāmas, kas tiek izplatīta tīmekļvietnēs, kuras lietotāji izveido un kuras tie apmeklē, un, otrkārt, ka Facebook Vācijā esošā dibinājuma pārziņā ir šajā dalībvalstī nodrošināt reklāmas laukumu reklamēšanu un pārdošanu, kas kalpo tam, lai padarītu Facebook piedāvātos pakalpojumus ienesīgus, šā dibinājuma darbība ir jāuzskata par nedalāmi saistītu ar personas datu apstrādi pamatlietā, par kuru FacebookInc. ir kopīgi atbildīga ar FacebookIreland. Tādēļ ir uzskatāms, ka šāda apstrāde tiek veikta pārziņa dibinājuma darbības ietvaros Direktīvas 95/46 4. panta 1. punkta a) apakšpunkta izpratnē (šajā nozīmē skat. spriedumu, 2014. gada 13. maijs, GoogleSpain un Google, C‑131/12, EU:C:2014:317, 55. un 56. punkts).

61      No tā izriet, ka, tā kā saskaņā ar Direktīvas 95/46 4. panta 1. punkta a) apakšpunktu pamatlietā aplūkotajai personas datu apstrādei ir piemērojami Vācijas tiesību akti, Vācijas uzraudzības iestādes kompetencē saskaņā ar minētās direktīvas 28. panta 1. punktu bija piemērot šos tiesību aktus minētajai apstrādei.

62      Līdz ar to šīs uzraudzības iestādes kompetencē bija – lai nodrošinātu personas datu aizsardzības jomu reglamentējošo tiesību normu ievērošanu Vācijas teritorijā – īstenot attiecībā uz FacebookGermany visas pilnvaras, kas tai ir noteiktas valsts tiesību normās, ar kurām ir transponēts Direktīvas 95/46 28. panta 3. punkts.

63      Vēl jāpaskaidro, ka iesniedzējtiesas trešajā jautājumā uzsvērtais apstāklis – ka stratēģiskos lēmumus saistībā ar personas datu vākšanu un apstrādi attiecībā uz personām, kuru pastāvīgā dzīvesvieta atrodas Eiropas Savienības teritorijā, pieņem tāds kādā trešajā valstī iedibināts mātesuzņēmums kā šajā gadījumā FacebookInc. – neliek apšaubīt kompetenci, kas saskaņā ar kādas dalībvalsts tiesību aktiem izveidotajai uzraudzības iestādei ir attiecībā uz minēto datu pārziņa dibinājumu, kurš atrodas šīs dalībvalsts teritorijā.

64      Ņemot vērā iepriekš izklāstīto, uz trešo un ceturto jautājumu ir jāatbild, ka Direktīvas 95/46 4. un 28. pants ir jāinterpretē tādējādi, ka gadījumā, ja ārpus Savienības iedibinātam uzņēmumam ir vairāki dažādās dalībvalstīs esoši dibinājumi, pilnvaras, kas kādas dalībvalsts uzraudzības iestādei ir piešķirtas šīs direktīvas 28. panta 3. punktā, šī iestāde ir tiesīga izmantot attiecībā uz šīs dalībvalsts teritorijā esošu šā uzņēmuma dibinājumu pat tad, ja atbilstoši koncerna ietvaros esošajam uzdevumu sadalījumam, pirmkārt, šā dibinājuma pārziņā ir tikai reklāmas laukumu pārdošana un citas mārketinga darbības minētās dalībvalsts teritorijā un, otrkārt, ekskluzīvā atbildība par personas datu vākšanu un apstrādi visā Savienības teritorijā ir dibinājumam, kas atrodas kādā citā dalībvalstī.

 Par piekto un sesto jautājumu

65      Ar savu piekto un sesto jautājumu, kuri ir jāizskata kopā, iesniedzējtiesa būtībā jautā, vai Direktīvas 95/46 4. panta 1. punkta a) apakšpunkts un 28. panta 3. un 6. punkts ir jāinterpretē tādējādi, ka, ja dalībvalsts uzraudzības iestāde grasās attiecībā uz šīs dalībvalsts teritorijā iedibinātu struktūru izmantot iejaukšanās pilnvaras, kas paredzētas šīs direktīvas 28. panta 3. punktā, tāpēc, ka personas datu aizsardzības noteikumu pārkāpumu izdara kāda trešā persona, kura atbildīga par šo datu apstrādi un kuras sēdeklis ir kādā citā dalībvalstī, šīs uzraudzības iestādes kompetencē ir neatkarīgi no šīs otras dalībvalsts uzraudzības iestādes izvērtēt šādas apstrādes likumību un tā var īstenot savas iejaukšanās pilnvaras attiecībā uz tās teritorijā iedibināto struktūru, iepriekš neaicinot otrās dalībvalsts uzraudzības iestādes iejaukties.

66      Lai atbildētu uz šiem jautājumiem, ir jāatgādina – kā izriet no atbildes uz pirmo un otro prejudiciālo jautājumu –, ka Direktīvas 95/46 2. panta d) punkts ir jāinterpretē tādējādi, ka tādos apstākļos kā pamatlietā personas datu aizsardzības noteikumu pārkāpuma gadījumā par atbildīgu ir atzīstama tāda struktūra, kas – kā Wirtschaftsakademie – uztur Facebook vietnē mitinātu fanu lapu.

67      No tā izriet, ka saskaņā ar Direktīvas 95/46 4. panta 1. punkta a) apakšpunktu, kā arī 28. panta 1. un 3. punktu tās dalībvalsts uzraudzības iestādes, kuras teritorijā šī struktūra ir iedibināta, kompetencē ir piemērot savus valsts tiesību aktus un tādējādi attiecībā uz šo struktūru īstenot visas tai šajos valsts tiesību aktos piešķirtās pilnvaras atbilstoši minētās direktīvas 28. panta 3. punktam.

68      Minētās direktīvas 28. panta 1. punkta otrajā daļā ir paredzēts, ka uzraudzības iestādes, kurām ir uzticēts veikt kontroli par to, kā šo iestāžu piederības dalībvalstu teritorijā tiek piemēroti noteikumi, ko šīs dalībvalstis pieņēmušas saskaņā ar minēto direktīvu, tām uzticēto pienākumu izpildē darbojas pilnīgi neatkarīgi. Šāda prasība izriet arī no Savienības primārajām tiesībām, proti, Eiropas Savienības Pamattiesību hartas 8. panta 3. punkta un LESD 16. panta 2. punkta (šajā nozīmē skat. spriedumu, 2015. gada 6. oktobris, Schrems, C‑362/14, EU:C:2015:650, 40. punkts).

69      Turklāt, lai arī saskaņā ar Direktīvas 95/46 28. panta 6. punkta otro daļu uzraudzības iestādes savstarpēji sadarbojas tik lielā mērā, cik tas ir nepieciešams savu uzdevumu izpildei, tostarp apmainoties ar visu lietderīgo informāciju, šajā direktīvā nav nedz paredzēts kāds kritērijs, pēc kura būtu nosakāms, kādā savstarpējas prioritātes kārtībā uzraudzības iestādes var iejaukties, nedz noteikts kāds pienākums vienas dalībvalsts uzraudzības iestādei sekot nostājai, ko iespējami paudusi kādas citas dalībvalsts uzraudzības iestāde.

70      Tādējādi uzraudzības iestādei, kuras kompetence ir atzīta saskaņā ar tās valsts tiesību aktiem, nekas neliek pārņemt risinājumu, ko analoģiskā situācijā ir radusi kāda cita uzraudzības iestāde.

71      Šajā ziņā ir jāatgādina, ka, tā kā valsts uzraudzības iestāžu ziņā saskaņā ar Pamattiesību hartas 8. panta 3. punktu un Direktīvas 95/46 28. pantu ir kontrolēt, vai tiek ievērotas Savienības tiesību normas par fizisku personu aizsardzību saistībā ar personas datu apstrādi, ikviena no tām tātad ir apveltīta ar pilnvarām pārbaudīt, vai personas datu apstrādē, kas veikta tās piederības dalībvalstī, tiek ievērotas Direktīvā 95/46 izvirzītās prasības (šajā nozīmē skat. spriedumu, 2015. gada 6. oktobris, Schrems, C‑362/14, EU:C:2015:650, 47. punkts).

72      Tā kā Direktīvas 95/46 28. pants jau pēc savas iedabas ir piemērojams visa veida personas datu apstrādei, pat tad, ja lēmumu ir pieņēmusi arī kādas citas dalībvalsts uzraudzības iestāde, uzraudzības iestādei – kurā kāda persona ir vērsusies ar lūgumu aizsargāt viņas tiesības un brīvības saistībā ar viņas personas datu apstrādi – ir gluži neatkarīgi jāizvērtē, vai šo datu apstrāde atbilst šajā direktīvā izvirzītajām prasībām (šajā nozīmē skat. spriedumu, 2015. gada 6. oktobris, Schrems, C‑362/14, EU:C:2015:650, 57. punkts).

73      No tā izriet, ka šajā gadījumā atbilstoši ar Direktīvu 95/46 izveidotajai sistēmai ULD bija tiesīga – neatkarīgi no Īrijas uzraudzības iestādes veiktajiem vērtējumiem – vērtēt pamatlietā aplūkotās datu apstrādes likumību.

74      Līdz ar to uz piekto un sesto jautājumu ir jāatbild, ka Direktīvas 95/46 4. panta 1. punkta a) apakšpunkts un 28. panta 3. un 6. punkts ir jāinterpretē tādējādi, ka, ja dalībvalsts uzraudzības iestāde grasās attiecībā uz šīs dalībvalsts teritorijā iedibinātu struktūru izmantot iejaukšanās pilnvaras, kas paredzētas šīs direktīvas 28. panta 3. punktā, tāpēc, ka personas datu aizsardzības noteikumu pārkāpumu izdara kāda trešā persona, kura atbildīga par šo datu apstrādi un kuras sēdeklis ir kādā citā dalībvalstī, šīs uzraudzības iestādes kompetencē ir neatkarīgi no šīs otras dalībvalsts uzraudzības iestādes izvērtēt šādas apstrādes likumību un tā var īstenot savas iejaukšanās pilnvaras attiecībā uz tās teritorijā iedibināto struktūru, iepriekš neaicinot otrās dalībvalsts uzraudzības iestādes iejaukties.

 Par tiesāšanās izdevumiem

75      Attiecībā uz pamatlietas pusēm šī tiesvedība ir stadija procesā, kuru izskata iesniedzējtiesa, un tā lemj par tiesāšanās izdevumiem. Izdevumi, kas radušies, iesniedzot apsvērumus Tiesai, un kas nav minēto pušu izdevumi, nav atlīdzināmi.

Ar šādu pamatojumu Tiesa (virspalāta) nospriež:

1)      Eiropas Parlamenta un Padomes Direktīvas 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti 2. panta d) punkts ir jāinterpretē tādējādi, ka jēdziens “personas datu apstrādātājs [pārzinis]” šīs tiesību normas izpratnē ietver sociālajā tīklā mitinātas fanu lapas uzturētāju.

2)      Direktīvas 95/46 4. un 28. pants ir jāinterpretē tādējādi, ka gadījumā, ja ārpus Eiropas Savienības iedibinātam uzņēmumam ir vairāki dažādās dalībvalstīs esoši dibinājumi, pilnvaras, kas kādas dalībvalsts uzraudzības iestādei ir piešķirtas šīs direktīvas 28. panta 3. punktā, šī iestāde ir tiesīga izmantot attiecībā uz šīs dalībvalsts teritorijā esošu šā uzņēmuma dibinājumu pat tad, ja atbilstoši koncerna ietvaros esošajam uzdevumu sadalījumam, pirmkārt, šā dibinājuma pārziņā ir tikai reklāmas laukumu pārdošana un citas mārketinga darbības minētās dalībvalsts teritorijā un, otrkārt, ekskluzīvā atbildība par personas datu vākšanu un apstrādi visā Eiropas Savienības teritorijā ir dibinājumam, kas atrodas kādā citā dalībvalstī.

3)      Direktīvas 95/46 4. panta 1. punkta a) apakšpunkts un 28. panta 3. un 6. punkts ir jāinterpretē tādējādi, ka, ja dalībvalsts uzraudzības iestāde grasās attiecībā uz šīs dalībvalsts teritorijā iedibinātu struktūru izmantot iejaukšanās pilnvaras, kas paredzētas šīs direktīvas 28. panta 3. punktā, tāpēc, ka personas datu aizsardzības noteikumu pārkāpumu izdara kāda trešā persona, kura atbildīga par šo datu apstrādi un kuras sēdeklis ir kādā citā dalībvalstī, šīs uzraudzības iestādes kompetencē ir neatkarīgi no šīs otras dalībvalsts uzraudzības iestādes izvērtēt šādas apstrādes likumību un tā var īstenot savas iejaukšanās pilnvaras attiecībā uz tās teritorijā iedibināto struktūru, iepriekš neaicinot otrās dalībvalsts uzraudzības iestādes iejaukties.

[Paraksti]


*      Tiesvedības valoda – vācu.